In verskeie groot rekenaarklusters geleë in superrekenaarsentrums in die VK, Duitsland, Switserland en Spanje, spore van infrastruktuur inbraak en installering van wanware vir verborge ontginning van die Monero (XMR) kripto-geldeenheid. 'n Gedetailleerde ontleding van die voorvalle is nog nie beskikbaar nie, maar volgens voorlopige data is die stelsels gekompromitteer as gevolg van die diefstal van geloofsbriewe uit die stelsels van navorsers wat toegang gehad het om take in groepe uit te voer (onlangs het baie groepe toegang tot derdeparty-navorsers wat die SARS-CoV-2-koronavirus bestudeer en prosesmodellering uitvoer wat met COVID-19-infeksie verband hou). Nadat die aanvallers in een van die gevalle toegang tot die groep gekry het, het die kwesbaarheid uitgebuit in die Linux-kern om worteltoegang te kry en 'n rootkit te installeer.
twee voorvalle waarin aanvallers geloofsbriewe gebruik het wat van gebruikers van die Universiteit van Krakow (Pole), Shanghai Transport University (China) en die Chinese Science Network vasgelê is. Geloofsbriewe is van deelnemers aan internasionale navorsingsprogramme vasgelê en gebruik om via SSH aan groepe te koppel. Hoe presies die geloofsbriewe vasgelê is, is nog nie duidelik nie, maar op sommige stelsels (nie almal nie) van die slagoffers van die wagwoordlek, is vervalste SSH-uitvoerbare lêers geïdentifiseer.
As gevolg hiervan het die aanvallers toegang tot die VK-gebaseerde (Universiteit van Edinburgh) groepering , die 334ste plek in die Top500 grootste superrekenaars. Na aanleiding van soortgelyke penetrasies was in die groepe bwUniCluster 2.0 (Karlsruhe Institute of Technology, Duitsland), ForHLR II (Karlsruhe Institute of Technology, Duitsland), bwForCluster JUSTUS (Ulm Universiteit, Duitsland), bwForCluster BinAC (Universiteit van Tübingen, Duitsland) en Hawk (Universiteit van Stuttgart, Duitsland).
Inligting oor groepveiligheidsvoorvalle in (CSCS), ( in top 500), (Duitsland) en (, и plekke in die Top500). Daarbenewens, van werknemers inligting oor die kompromie van die infrastruktuur van die High Performance Computing Centre in Barcelona (Spanje) is nog nie amptelik bevestig nie.
veranderinge
, dat twee kwaadwillige uitvoerbare lêers na die gekompromitteerde bedieners afgelaai is, waarvoor die suid-wortelvlag gestel is: “/etc/fonts/.fonts” en “/etc/fonts/.low”. Die eerste is 'n selflaaiprogram vir die uitvoer van dopopdragte met wortelregte, en die tweede is 'n logskoonmaker om spore van aanvalleraktiwiteit te verwyder. Verskeie tegnieke is gebruik om kwaadwillige komponente te versteek, insluitend die installering van 'n rootkit. , gelaai as 'n module vir die Linux-kern. In een geval is die mynproses net in die nag begin, om nie aandag te trek nie.
Sodra dit gekap is, kan die gasheer gebruik word om verskeie take uit te voer, soos om Monero (XMR) te ontgin, 'n instaanbediener (om met ander myngashere te kommunikeer en die bediener wat die mynbou koördineer) te bestuur, 'n mikroSOCKS-gebaseerde SOCKS-instaanbediener (om eksterne te aanvaar verbindings via SSH) en SSH-aanstuur (die primêre punt van penetrasie met behulp van 'n gekompromitteerde rekening waarop 'n adresvertaler opgestel is om na die interne netwerk aan te stuur). Wanneer hulle aan gekompromitteerde leërskare verbind het, het aanvallers gashere met SOCKS-gevolmagtigdes gebruik en gewoonlik deur Tor of ander gekompromitteerde stelsels verbind.
Bron: opennet.ru